网络攻击阶段技术及防范策略课件

1、第2讲：网络攻击阶段技术及防范策略*2*2内容安排2.1 黑客2.2 网络攻击过程2.3 常用的防护措施2.4 网络安全策略及制订原则2.5 网络安全体系设计2.6 小结*32.1 黑客黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。网络黑客的主要攻击手法有：获取口令、放置木马、web欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、寻找系统漏洞、利用缓冲区溢出窃取特权等。*4黑客起

2、源起源地：美国精神支柱：对技术的渴求对自由的渴求历史背景：越战与反战活动马丁路德金与自由嬉皮士与非主流文化电话飞客与计算机革命中国黑客发展历史1998年印尼事件1999年南联盟事件绿色兵团南北分拆事件中美五一黑客大战事件“头号电脑黑客”-凯文米特尼克 1964年出生的Kevin David Mitnick，被称之为世界上“头号电脑黑客”。他在15岁时就成功破解北美空中防务指挥系统，翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。不久之后，他又进入了美国著名的“太平洋电话公司”的通信网络系统。更改了这家公司的电脑用户，包括一些知名人士的号码和通讯地址。导致太平洋公司不得不作出赔偿。而太平洋电

3、脑公司经过相当长时间才明白自己的系统被入侵了。随后他开始攻击联邦调查局的网络系统，并成功的进入其中。发现联邦调查局正在调查一名”黑客”，而这个“黑客“正是他自己，但他并未重视。在其后的活动中多次被计算机信息跟踪机跟踪，并在16岁时被第一次逮捕，成为全球第一名网络少年犯。 Mitnick随后并未收手，先后成功入侵了诺基亚、摩托罗拉、升阳以及富士通等公司的计算机，盗取企业重要资料，给这些公司造成高达4亿美元的损失。1994年， Mitnick向圣地亚哥超级计算机中心进行入侵攻击，并戏弄了联邦调查局聘请而来专为缉拿他的被称为“美国最出色的电脑安全专家”的日裔美籍计算机专家下村勉，并于1995年再次被

4、捕。2001年释放，2002年彻底自由，开始作为为美国互联网杂志专栏作家，以安全专家的身份出现。 *6*6黑客分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机 为人民服务漏洞发现 - Flashsky软件破解 - 0 Day工具提供 - Glacier白帽子创新者设计新系统打破常规精研技术勇于创新没有最好， 只有更好MS -Bill GatesGNU -R.StallmanLinux -Linus善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己， 天诛地灭入侵者 -K.米特尼克CIH -陈盈豪攻击Yahoo -匿名恶渴求自由*7常见的黑客攻击及入侵技术的发展

5、 19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务www 攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵检测网络管理DDOS 攻击2005高*8*8攻击案例：对日网络攻击从2003年7月31日晚间开始，国内一批黑客组织按约定对日本政府机关、公司和民间机构网站展开攻击本次攻击历时五天，以宣扬“爱国”精神和发泄对日不满情绪为主要目的，通过篡改主页等技术手段，在一定程度上达到了预期目的，对日本网站造成了某些破坏 期间有十几家日本网站（包括可能是被误攻击的韩国、台湾网站）被攻击成

6、功，页面被修改 *9对日网络攻击的调查序号攻击者受害者地址受害者单位备注1云中子www.npa.go.jp日本警察厅官方网站，已于7月31日23点恢复2中国黑鹰联盟6SKYNET Corporation日本民间公司3Squall5台湾中华电信数据通信分公司不是日本目标4Skywalker4大王（DAIO）制纸株式会社日本民间公司5中国黑鹰联盟49韩国大宇(DAEWOO)INFORMATION SYSTEM BRENIC不是日本目标6中国菜鸟联盟6同2SKYNET Corporation日本民间公司*10对日网络攻击的调查（续）7双子情剑49USTK0002-082 broadgate日本目标8

7、雪落無聲 and HvTB4Knowledge Net Works Co.,Inc.日本目标9雪落無聲78Dream Train Internet Inc.日本目标10网络失足男孩85NEC Corporation日本民间公司11雪落无声0AIKYU Co., Ltd日本民间公司12Skywalker4大王（DAIO）制纸株式会社日本民间公司13星火网络96Matsumura Bussan Corporation日本民间公司*11对日网络攻击的调查（续）*12攻击案例（2）：利用DNS劫持攻击大型网站事件2007年11月3日，部分用户在访问腾讯迷你首页网站( /)时，会被恶意代码感染，系统会自

8、动从恶意网站上下载并运行恶意程序。由于该站点为QQ软件启动时默认自动弹出，具有极高的访问量。攻击者采用的攻击方法是劫持DNS解析过程，篡改腾讯迷你首页的DNS记录。非法劫持腾讯“迷你网”主页域名传播17种32个计算机木马病毒，使全国数百万网民在访问“迷你网”主页，玩传奇、魔兽等网络游戏时，游戏帐号和密码被秘密发送到木马程序设置的远程接收服务器上，该团伙迅速盗取帐号和密码，在网上销赃套现，销赃所得按“贡献”大小分成。不到两个月时间，马志松等人就盗窃数十万网上用户的游戏帐号和密码，非法获利40余万元，马志松分得15万元。腾讯“迷你网”因停止服务，造成直接损失20余万元。*13攻击案例（2） ：利用

9、DNS劫持攻击大型网站事件（续）2007年11月19日，无锡市公安局网警支队接报：当月5日至19日期间，全国部分地区的互联网用户在访问深圳市腾讯计算机系统有限公司迷你网主页时，被错误指向到位于无锡市的病毒服务器，造成上百万网民的电脑受病毒感染，腾讯公司被迫停止网站服务，造成重大经济损失。警方立即开展侦查，于同年12月，分别在四川成都、江苏张家港、黑龙江东宁等地抓获6名犯罪嫌疑人。江苏省公安厅信息网络安全监察部门在马志松等人使用的电脑硬盘中发现了用于攻击网站的破坏性程序。经审查，2007年9月底至11月中旬，这一团伙在成都市使用编译好的劫持程序对上海、重庆、扬州等10余个城市共计27台域名服务器

10、实施攻击劫持，借机盗取网络游戏账号。法院审理认为，6名被告违反国家规定，对计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行，后果严重，均已构成破坏计算机信息系统罪。马志松等6名被告被江苏无锡滨湖区法院一审分别判处四年至一年不等有期徒刑。*142.2 网络攻击过程网络攻击过程一般可以分为本地入侵和远程入侵在这里主要介绍远程攻击的一般过程： 远程攻击的准备阶段远程攻击的实施阶段远程攻击的善后阶段*15远程攻击的准备阶段确定攻击目标信息收集服务分析系统分析漏洞分析*16攻击准备1确定攻击目标攻击者在进行一次完整的攻击之前，首先要确定攻击要达到什么样的目的，即给受侵者造成什么样的后果。常见的

11、攻击目的有破坏型和入侵型两种。破坏型攻击是指只破坏攻击目标，使之不能正常工作，而不能随意控制目标上的系统运行。入侵型攻击这种攻击要获得一定的权限才能达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍，威胁性也更大。因为攻击者一旦掌握了一定的权限、甚至是管理员权限就可以对目标做任何动作，包括破坏性质的攻击。 *17攻击准备2信息收集（踩点）利用一切公开的、可利用的信息来调查攻击目标包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息包括以下技术低级技术侦察Web搜索Whois数据库域名系统（DNS）侦察低级技术侦察社交工程 在黑客理论中，指利用人性弱点、利用人际交往上的漏洞

12、来非法获取资料的行为。物理闯入垃圾搜寻你能找出垃圾搜寻的例子吗？Web搜索搜索一个组织自己的web站点有电话号码的职员联系信息关于公司文化和语言的信息商务伙伴最近的合并和兼并公司正使用的技术使用搜索引擎搜索论坛BBS（电子公告栏）Usenet（新闻组）Whois数据库搜索whois数据库：包括各种关于Internet地址分配、域名和个人联系方式的数据库。研究.com, .net, .org域名研究非.com, .net和.org域名国家代码:教育（.edu): 军事代码（.mit): whois.nic.mit政府(.gov): Whois数据库搜索(续)搜索目标域名Whois数据库搜索(续)

13、搜索目标IP美国Internet注册局：/whois/arin-whois.html欧洲网络协调中心：亚太网络协调中心：中国互联网络信息中心：亚太网络信息中心DNS搜索Nslookup 使用DNS的排错工具nslookup，你可以利用从whois查询到的信息侦查更多的网络情况。例如，使用nslookup命令把你的主机伪装成secondary DNS服务器，如果成功便可以要求从主DNS服务器进行区域传送。要是传送成功的话，你将获得大量有用信息，包括： a)使用此DNS服务器做域名解析到所有主机名和IP地址的映射情况 b)公司使用的网络和子网情况 c)主机在网络中的用途。许多公司使用带有描述性的主

14、机名，像，和。 DNS搜索使用nslookup实现区域传送的过程 （1）使用whois命令查询目标网络，例如在提示符下输入 whois （2）你会得到目标网络的primary和slave DNS服务器的信息。例如，假设主DNS服务器的名字是 （3）使用交互查询方式，缺省情况下nslookup会使用缺省的DNS服务器作域名解析。键入命令server 定位目标网络的DNS服务器； （4）列出目标网络DNS服务器的内容，如ls 。此时DNS服务器会把数据传送给你，当然，管理员可以禁止DNS服务器进行区域传送，目前很多公司将DNS服务器至于防火墙的保护之下并严格设定了只能向某些主机进行区域传送。 一旦

15、你从区域传送中获得了有用信息，你便可以对每台主机实施端口扫描以确定它们提供了那些服务。如果你不能实现区域传送，你还可以借助ping和端口扫描工具，当然还有traceroute。*26攻击准备2信息收集（踩点）收集目标系统相关信息的协议和工具Ping实用程序TraceRoute、Tracert、X-firewalk程序Whois协议Finger协议SNMP协议*27攻击准备2信息收集（踩点）在网络中主机一般以IP地址进行标识。例如选定50这台主机为攻击目标，使用ping命令可以探测目标主机是否连接在Internet中。在Windows下使用ping命令测试：ping 50测试结果如下页图所示。说

16、明此主机处于活动状态。*网络入侵与防范讲义28*网络入侵与防范讲义28*29攻击准备3服务分析（扫描查点分析）探测目标主机所提供的服务、相应端口是否开放、各服务所使用的软件版本类型：如利用Telnet、haktek等工具，或借助SuperScan、Nmap等这类工具的端口扫描或服务扫描功能。举例：Windows下，开始运行cmd输入：telnet 50 80，然后回车结果如下页图所示，说明50这台主机上运行了http服务，Web服务器版本是IIS 5.1*网络入侵与防范讲义30*网络入侵与防范讲义30端口扫描端口扫描类型TCP连接扫描：三次握手TCP SYNTCP FINXma：发送TCP U

17、RG、PSH等TCP 空扫描TCP ACKFTP跳跃UDPICMP工具：nmap*32攻击准备4系统分析（扫描查点分析）确定目标主机采用何种操作系统原理：协议栈指纹（Fingerprint）例如在Windows下安装Nmap v4.20扫描工具，此工具含OS Detection的功能（使用-O选项）。打开cmd.exe，输入命令：nmap O 50，然后确定探测结果如下页图所示，说明操作系统是Windows 2000 SP1、SP2或者SP3*网络入侵与防范讲义33*网络入侵与防范讲义33*34攻击准备5漏洞分析（扫描查点分析）分析确认目标主机中可以被利用的漏洞手动分析：过程复杂、技术含量高、

18、效率较低借助软件自动分析：需要的人为干预过程少，效率高。如Nessus、X-Scan等综合型漏洞检测工具、eEye等专用型漏洞检测工具等。例如在Windows下使用eEye Sasser Scanner对目标主机8进行系统漏洞分析。探测结果如下页图所示，说明目标主机存在震荡波漏洞。*35*36远程攻击的实施阶段作为破坏性攻击，可以利用工具发动攻击即可。作为入侵性攻击，往往需要利用收集到的信息，找到其系统漏洞，然后利用漏洞获取尽可能高的权限。 攻击的主要阶段包括：预攻击探测：为进一步入侵提供有用信息口令破解与攻击提升权限实施攻击：缓冲区溢出、拒绝服务、后门、木马、病毒远程攻击常用的攻击方法第一类

19、：使用应用程序和操作系统的攻击获得访问权基于堆栈的缓冲区溢出堆栈 缓冲区密码猜测猜测缺省密码通过登录脚本猜测密码密码破解 Windows：L0phtCrack unix:：John the Ripper 关键：如何获得密码文件？远程攻击常用的攻击方法第一类：使用应用程序和操作系统的攻击获得访问权网络应用程序攻击收集帐号破坏web应用程序的会话跟踪 猜测会话ID，通过获取HTML页面修改后重放 修改cookies 如果会话ID不能手工修改： Web代理工具Achilles SQL Piggybacking 远程攻击常用的攻击方法第二类：使用网络攻击获得访问权嗅探IP地址欺骗会话劫持多功能网络工具

20、攻击：NetCat远程攻击常用的攻击方法第三类：拒绝服务攻击杀死进程重新配置系统使进程崩溃填充进程表填充整个文件系统恶意数据包攻击（如Land攻击，Teardrop攻击）数据包泛洪（SYN泛洪，Smurf， DDoS）本地网络停止服务消耗资源*41远程攻击的善后阶段入侵成功后，攻击者为了能长时间地保留和巩固他对系统的控制权，一般会留下后门。此外，攻击者为了自身的隐蔽性，须进行相应的善后工作隐藏踪迹：攻击者在获得系统最高管理员权限之后就可以任意修改系统上的文件了，所以一般黑客如果想隐匿自己的踪迹，最简单的方法就是删除日志文件但这也明确无误地告诉了管理员系统已经被入侵了。更常用的办法是只对日志文件

21、中有关自己的那部分作修改，关于修改方法的细节根据不同的操作系统有所区别，网络上有许多此类功能的程序。维护访问权木马（Trojan Horse）Back Orifice 2000(BO2K): .后门（Backdoor）RootKits:修改系统命令甚至内核dufindlsIfconfignetstatps掩盖踪迹和隐藏安装RootKits或者backdoor修改事件日志Windows：*.evt工具：winzapper, ntsecurity.nu/toolbox/winzapper/UNIX:utmpwtmplastlog掩盖踪迹和隐藏（续）利用秘密通道技术来隐藏证据隧道技术loki：ICM

22、P隧道Van Hauser：HTTP 隧道隐蔽通道（Covert Channel）利用IP或者利用tcp头IP identifierTCP Sequence numberTCP ack number工具：Covert_TCP*45入侵系统的常用步骤 采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的*46较高明的入侵步骤 端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途2.2 网络攻击过程黑客入侵的一般完整模式为： 隐藏自己踩点 扫描查点 分析

23、并入侵 获取权限 扩大范围 安装后门清除日志并隐身 黑客入侵行为可以用模型图表示如下：黑客入侵的一般流程Case StudySource Code DBMonstrous Software电子办公Monstrous SoftwareCase StudyStep 1：寻找跳离点跳离点（前苏联）跳离点（日本）Source Code DBMonstrous Software电子办公Monstrous SoftwareCase Study跳离点（俄罗斯）跳离点（日本）Source Code DBMonstrous Software电子办公Monstrous SoftwareCase StudyStep

24、 2：搜索Monstrous Software跳离点（俄罗斯）跳离点（日本）Source Code DBMonstrous Software电子办公Monstrous SoftwareCase StudyStep 3：发送带病毒的、有吸引人的垃圾邮件Source Code DB跳离点（俄罗斯）跳离点（日本）Monstrous Software电子办公Monstrous SoftwareSPAMCase StudyStep 3：发送带病毒的、有吸引人的垃圾邮件跳离点（俄罗斯）跳离点（日本）Source Code DBMonstrous Software电子办公Monstrous Software

25、下载电子邮件VPNCase StudyStep 4：下载病毒代码跳离点（俄罗斯）跳离点（日本）Source Code DBMonstrous Software电子办公Monstrous Software下载木马后门Case StudyStep 5：木马后门利用VPN搜索windows共享跳离点（俄罗斯）跳离点（日本）Source Code DBMonstrous Software电子办公Monstrous Software木马后门VPNCase StudyStep 6：上传病毒代码，并替换为notepad等程序跳离点（俄罗斯）跳离点（日本）Source Code DBMonstrous Sof

26、tware电子办公Monstrous Software木马后门VPN木马后门木马后门Case StudyStep 7：回传口令信息跳离点（俄罗斯）跳离点（日本）Source Code DBMonstrous Software电子办公Monstrous Software木马后门NetcatL0phCrackNetcat木马后门木马后门Case StudyStep 8：利用隐蔽信道传送命令和解密口令Source Code DB跳离点（俄罗斯）跳离点（日本）Monstrous Software电子办公Monstrous Software木马后门NetcatL0phCrackCovert_TCP通信量

27、大的电子商务网站Netcat木马后门木马后门Case StudyStep 9：利用破解后的口令建立VPN连接，并扫描网络Source Code DBMonstrous Software跳离点（俄罗斯）跳离点（日本）Monstrous Software电子办公木马后门NetcatL0phCrackCovert_TCP通信量大的电子商务网站NetcatVPN木马后门木马后门Case StudyStep 10：回传源代码Source Code DBMonstrous Software跳离点（俄罗斯）跳离点（日本）Monstrous Software电子办公木马后门NetcatL0phCrackCov

28、ert_TCP通信量大的电子商务网站NetcatVPN木马后门木马后门源代码Main ().*62*622.3 常用的防护措施我们怎么办？*63*63个人用户防护措施 加密重要文件防火墙定期升级补丁杀毒软件定期升级和杀毒定期备份系统或重要文件防护措施*64*64防止黑客入侵关闭不常用端口关闭不常用程序和服务及时升级系统和软件补丁发现系统异常立刻检查*65常用的防护措施完善安全管理制度采用访问控制措施运行数据加密措施数据备份与恢复 世界第一黑客提出的个人计算机安全十大建议 备份资料。记住你的系统永远不会是无懈可击的，灾难性的数据损失会发生在你身上只需一条蠕虫或一只木马就已足够。 选择很难猜的密码

29、。不要没有脑子地填上几个与你有关的数字，在任何情况下，都要及时修改默认密码。 安装杀毒软件，并让它每天更新升级。 及时更新操作系统，时刻留意软件制造商发布的各种补丁，并及时安装应用。 不用电脑时候千万别忘了断开网线和电源。 世界第一黑客提出的个人计算机安全十大建议 在IE或其它浏览器中会出现一些黑客钓鱼，对此要保持清醒，拒绝点击，同时将电子邮件客户端的自动脚本功能关闭。 在发送敏感邮件时使用加密软件，也可用加密软件保护你的硬盘上的数据。 安装一个或几个反间谍程序，并且要经常运行检查。使用个人防火墙并正确设置它，阻止其它计算机、网络和网址与你的计算机建立连接，指定哪些程序可以自动连接到网络。 关

30、闭所有你不使用的系统服务，特别是那些可以让别人远程控制你的计算机的服务，如RemoteDesktop、RealVNC和NetBIOS等。 保证无线连接的安全。在家里，可以使用无线保护接入WPA和至少20个字符的密码。正确设置你的笔记本电脑，不要加入任何网络，除非它使用WPA。要想在一个充满敌意的因特网世界里保护自己，的确是一件不容易的事。你要时刻想着，在地球另一端的某个角落里，一个或一些毫无道德的人正在刺探你的系统漏洞，并利用它们窃取你最敏感的秘密。希望你不会成为这些网络入侵者的下一个牺牲品。*68*682.4 网络安全策略及制订原则安全策略，是针对那些被允许进入某一组织、可以访问网络技术资源

31、和信息资源的人所规定的、必须遵守的规则。即：网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所付出的代价和风险、社会因素等许多方面因素，所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规定。*69*69制定安全策略的目的决定一个组织机构怎样保护自己阐明机构安全政策的总体思想让所有用户、操作人员和管理员清楚，为了保护技术和信息资源所必须遵守的原则。提供一个可以获得、能够配置和检查的用于确定是否与计算机和网络系统的策略一致的基准*70*70安全策略的必要性网络管理员在作安全策略时的依据在很大程度上取决于网络运行过程中

32、的安全状况，网络所提供的功能以及网络的易用程度。安全策略应以要实现目标为基础，而不能简单地规定要检验什么和施加什么限制。在确定的安全目标下，应该制定如何有效地利用所有安全工具的策略。*71*71安全策略的必要性(2)检测响应防护PPDR模型检测响应防护策略强调了策略的核心作用强调了检测、响应、防护的动态性检测、响应、防护必须遵循安全策略进行*72制订安全策略的基本原则适用性原则可行性原则动态性原则简单性原则系统性原则*73*73适用性原则安全策略是在一定条件下采取的安全措施，必须与网络的实际应用环境相结合。网络的安全管理是一个系统化的工作，因此在制定安全策略时，应全面考虑网络上各类用户、设备等

33、情况，有计划有准备地采取相应的策略，任何一点疏忽都会造成整个网络安全性的降低。*74*74可行性原则安全管理策略的制定还要考虑资金的投入量，因为安全产品的性能一般是与其价格成正比的，所以要适合划分系统中信息的安全级别，并作为选择安全产品的重要依据，使制定的安全管理策略达到成本和效益的平衡。*75*75动态性原则安全管理策略有一定的时限性，不能是一成不变的。由于网络用户在不断地变化，网络规模在不断扩大，网络技术本身的发展变化也很快，而安全措施是防范性的，所以安全措施也必须随着网络发展和环境的变化而变化。 *76*76简单性原则网络用户越多，网络管理人员越多，网络拓扑越复杂，采用网络设备种类和软件

34、种类越多，网络提供的服务和捆绑越多，出现安全漏洞的可能性就越大。因此制定的安全管理策略越简单越好，如简化授权用户的注册过程等。*77*77系统性原则网络的安全管理是一个系统化的工作，因此在制定安全管理策略时，应全面考虑网络上各类用户，各种设备，各种情况，有计划有准备地采取相应的策略，任何一点疏忽都会造成整个网络安全性的降低。*78*78安全策略的特点所有有效的安全策略都至少具备以下特点：发布必须通过系统正常管理程序，采用合适的标准出版物或其他适当的方式来发布。强制执行在适当的情况下，必须能够通过安全工具来实现其强制实施，并在技术确定不能满足要求的情况下强迫执行。人员责任规定必须明确规定用户、系统管理员和公司管理人员等各类人员的职责范围和权限。*792.5 网络安全体系设计2.5.1 网络安全体系层次2.5.2 网络安全体系设计准则*802.5.1 网络安全体系层次作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题。根据网络的应用现状情况和网络的结构，安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。*81物理层安全物理环境的安全性。包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主